选择 Directory API 范围

本文档包含针对 Directory API 的授权和身份验证信息。在阅读本文档之前,请务必阅读了解身份验证和授权中的 Google Workspace 常规身份验证和授权信息。

配置 OAuth 2.0 以进行授权

配置 OAuth 同意屏幕并选择范围,以定义向用户显示的信息和应用审核者,并注册您的应用,以便日后发布。

Directory API 范围

如需定义授予应用的访问权限级别,您需要确定并声明授权范围。授权范围是一个 OAuth 2.0 URI 字符串,其中包含 Google Workspace 应用名称、所访问的数据类型和访问权限级别。范围是您的应用对 Google Workspace 数据(包括用户的 Google 账号数据)的处理请求。

安装应用时,系统会要求用户验证应用使用的范围。通常,您应尽可能选择范围最窄的范围,并避免请求应用不需要的范围。用户更容易授予对明确说明的有限范围的访问权限。

Directory API 支持以下范围:

设备的范围 含义
https://www.googleapis.com/auth/admin.directory.device.chromeos 访问所有 Chrome 设备操作的全局范围。
https://www.googleapis.com/auth/admin.directory.device.chromeos.readonly 将范围限定为仅检索 Chrome 设备。
https://www.googleapis.com/auth/admin.directory.device.mobile 覆盖所有移动设备操作的全局范围。
https://www.googleapis.com/auth/admin.directory.device.mobile.readonly 仅检索移动设备的范围
https://www.googleapis.com/auth/admin.directory.device.mobile.action 限定在移动设备上执行操作的任务范围。
群组、群组别名和群组成员的范围 含义
https://www.googleapis.com/auth/admin.directory.group.member 对所有群组成员角色和信息操作的访问权限范围。
https://www.googleapis.com/auth/admin.directory.group.member.readonly 仅检索群组成员角色和信息的范围。
https://www.googleapis.com/auth/admin.directory.group 全局范围,用于访问所有群组操作,包括群组别名和成员。
https://www.googleapis.com/auth/admin.directory.group.readonly 仅检索群组、群组别名和成员信息的范围。
组织部门的范围 含义
https://www.googleapis.com/auth/admin.directory.orgunit 对所有组织部门操作的全局范围。
https://www.googleapis.com/auth/admin.directory.orgunit.readonly 范围:仅检索组织部门。
用户和用户别名的范围 含义
https://www.googleapis.com/auth/admin.directory.user 访问所有用户和用户别名操作的全局范围。
https://www.googleapis.com/auth/admin.directory.user.readonly 将范围限定为仅检索用户或用户别名。
https://www.googleapis.com/auth/admin.directory.user.alias 所有用户别名操作的访问权限范围。
https://www.googleapis.com/auth/admin.directory.user.alias.readonly 仅检索用户别名的范围。
用户安全功能的范围 含义
https://www.googleapis.com/auth/admin.directory.user.security 访问所有应用特定密码、OAuth 令牌和验证码操作的范围。
角色管理的范围 含义
https://www.googleapis.com/auth/admin.directory.rolemanagement 确定所有角色管理操作的范围,包括创建角色和分配角色。
https://www.googleapis.com/auth/admin.directory.rolemanagement.readonly 获取和列出角色、权限及角色分配的范围。
自定义用户架构的范围 含义
https://www.googleapis.com/auth/admin.directory.userschema 对所有自定义用户架构操作的访问权限范围。
https://www.googleapis.com/auth/admin.directory.userschema.readonly 仅限检索自定义用户架构的范围。
客户的范围 含义
https://www.googleapis.com/auth/admin.directory.customer 访问所有客户运营部门的范围。
https://www.googleapis.com/auth/admin.directory.customer.readonly 仅检索客户的范围。
网域范围 含义
https://www.googleapis.com/auth/admin.directory.domain 对所有网域操作的访问权限范围。
https://www.googleapis.com/auth/admin.directory.domain.readonly 范围:仅检索网域。
日历资源的范围 含义
https://www.googleapis.com/auth/admin.directory.resource.calendar 对所有日历资源操作的访问权限范围。
https://www.googleapis.com/auth/admin.directory.resource.calendar.readonly 范围限定为仅检索日历资源。